Що таке uefi boot – докладний посібник

Більшість користувачів оновили свої комп’ютери: придбали нові системним блоки, материнські плати або ноутбуки в останні роки чотири.

Примечательностью нових машин є те, що застаріла система введення-виведення BIOS більше не використовується, її місце зайняла вдосконалена прошивка під назвою UEFI.

Вона володіє величезними кількістю переваг над BIOS, які сьогодні і розглянемо.

Більш докладно же зупинимося на утиліті UEFI Boot: дізнаємося, що це і чому його так не люблять користувачі.

Еволюція системного програмного забезпечення

Більше двох десятиліть в якості ПО низького рівня, що використовується при старті комп’ютера для тестування його обладнання, передачі управління залізом головного завантажувального запису MBR, яка вибирає і запускає завантажувач потрібної операційної системи, використовувався BIOS.

C його допомогою користувачі можуть управляти величезною кількістю параметрів апаратних компонентів.

CMOS – електронний елемент з незалежним живленням у вигляді батарейки, де і зберігається вся поточна конфігурація комп’ютера.

BIOS з’явився ще в кінці 80-х років. Так, він регулярно удосконалився і оновлювався, модифікувався під потреби користувачів і розробників, даючи їм можливість управляти режимами роботи обладнання і електроживленням, але всьому колись приходить кінець. Тим більше, що система введення / виведення – той компонент, який найменше зазнав змін за майже три десятка років в області інформаційних технологій.

Мал. 1 – Зовнішній вигляд UEFI

BIOS має масу недоліків:

  • він не підтримує завантаження з жорстких дисків об’ємом більше 2 ТБ – купили ви новий вінчестер на 3 або 4 ТБ, а встановити операційну систему на нього не зможете, це технологічне обмеження головного завантажувального запису (ніхто в 80-х і не подумував, що HDD можуть бути настільки неймовірного обсягу);
  • BIOS функціонує в 16-ти біт (При тому, що фактично всі сучасні процесори є 64 і 32-х бітними) при використанні всього 1024 КБ пам’яті;
  • процес одночасної ініціалізації декількох пристроїв підтримується, але він дуже неотлажен і проблематичний, що знижує швидкість запуску комп’ютера (кожен апаратний компонент і інтерфейс инициализируется окремо);
  • БІОС – рай для піратів – він не має ніяких захисних механізмів, що дозволяє завантажувати будь-які операційні системи і драйвери, в тому числі зі зміненим кодом і непідписані (неліцензійні).

Перша версія UEFI розроблена корпорацією Intel для Itanium, але пізніше була перенесена на IBM PC.

Це самостійна операційна система з графічним інтерфейсом, що складається з безлічі модулів і має необмежений доступ до ресурсів апаратних компонентів.

Особливості нової EFI з графічним інтерфейсом:

  • її код написаний повністю на C ++, що дозволяє збільшити продуктивність під час завантаження ПК за допомогою задіяння можливостей 64-розрядних центральних процесорів;
  • адресного простору операційної системи вистачає для підтримки 8 * 1018 байт дискового простору (такого запасу вистачить на кілька десятиліть) при тому, що весь обсяг цифрової інформації на даний момент майже на три порядки нижче;
  • адресація оперативної пам’яті – теоретичні розрахунки показують, що UEFI дозволить встановлювати до 16 ексабайт оперативної пам’яті (на 9 порядків більше, ніж в потужних сучасних ПК);
  • прискорена завантаження ОС здійснюється завдяки паралельній ініціалізації апаратних компонентів і завантаженні драйверів;
  • драйвери завантажуються в оперативну пам’ять ще до запуску операційної системи, причому вони не є платформозавісімимі;
  • замість старої схеми розмітки розділів використовується прогресивна GPT, проте для її задіяння доведеться відформатувати жорсткий диск;
  • зручна і симпатична графічна оболонка підтримує управління за допомогою миші;
  • є вбудовані утиліти для діагностики, зміни конфігурації та оновлення прошивок апаратних компонентів;
  • підтримка макросів в форматі .nsh;
  • модульна архітектура – дозволяє завантажувати власні драйвери або викачані з інтернету;
  • одне з найбільш значущих і найважливіших змін (зокрема для Microsoft), які привнесла UEFI – наявність Secure Boot Option. Вона викликана оберігати Bootloader від виконання шкідливого коду, захистити операційну систему від вірусів ще до її запуску за допомогою експлуатації цифрових підписів.

Мал. 2 – Схема взаємодії обладнання та ОС за допомогою UEFI

Про останню функції поговоримо докладніше.

Secure Boot

Назва технології перекладається як «безпечна завантаження» і являє собою протокол, який є складовою специфікації графічної EFI.

З’явився разом в Windows 8, але не є обов’язковим для реалізації виробниками материнських плат і портативних комп’ютерів.

Якщо коротко, Secure Boot дозволяє перевіряти наявність і справжність цифрових підписів, які перебувають в сховище, за допомогою експлуатації технологій асиметричною криптографії.

У 2011 році, коли інтерфейс ще не був представлений для широкої публіки, Microsoft висунули вимоги для сертифікації персональних комп’ютерів з операційною системою Windows 8 (і як наслідок Windows 10).

Цим Софтвенная корпорація спробувала зменшити кількість користувачів, що встановлюють на свої комп’ютери зламані версії ОС і збільшити без того колосальні прибутки.

Однак для користувача співтовариство зустріло такі зміни досить недружелюбно. По-перше, далеко не кожен готовий платити сотні доларів за якусь там не було Windows, по-друге, для ARM відключити Secure Boot можна, що спричинило за сотої Третій наслідок – утруднення, а часом і неможливість установки операційних систем, відмінних від Windows .

На планшетах під управлінням встановленою «десятки» деактивувати Secure Boot неможливо.

режими

Працює «безпечна завантаження» в чотирьох режимах, а не двох, як собі уявляє більшість користувачів:

  • Setup Mode (Режим настройки) – активація можлива тільки з призначеного для користувача режиму, в ньому потрібно аутентифікація для записів db, dbx, KEK і PK;
  • Audit Mode – режим аудиту – можлива активація з призначеного для користувача або режиму настройки – не вимагає аутентифікації, в ньому можуть запускатися пройшли перевірку образи, а відомості про всі процедури аутентифікації заносяться в спеціальну базу даних, яку можна переглядати з середовища операційної системи. Це надає можливість тестувати комбінації ключів / цифрових підписів;
  • User Mode – призначений для користувача – можливий перехід з розгорнутого і режиму настройки. У ньому здійснюється валідація образів;
  • Deployed Mode – розгорнутий – перехід можливий з другого або третього режиму, найбезпечніший з огляду на те, що всі змінні доступні тільки для читання.

Особливістю технології є те, що захист від виконання непідписаного коду здійснюється не тільки на етапі запуску операційної системи, але і в її середовищі, як в Windows, так і в Linux на рівні ядра. Але при наявності певних навичок і знань ключі можна легко замінити.

Переваги і недоліки

позитив:

  • Високий рівень безпеки – гарантує захист від функціонування руткітів в системних файлах операційної системи, робота яких призведе до недійсності цифрових підписів модифікованих файлів.
  • Шляхом внесення в базу заборонених для запуску операційних систем можна обмежити список завантажуваних ОС.

негатив:

  • Всі драйвери, які запускаються на етапі завантаження ОС, повинні бути підписаними, інакше вони не завантажаться і відповідні пристрої не використовуватимуться. Це вимагає узгодження розробниками системного програмного забезпечення та виробниками платформ моменту додавання їх ключів продуктів в довірена сховище.
  • Розробники ОС не зобов’язані реалізовувати функцію деактивації Secure Boot. Додавання ключів програмами в довірена сховище повинне бути заборонено, що ускладнює цю процедуру і для користувачів.
  • Багато версій прошивок мають уразливості, що дозволяють обходити Secure B

Пара перших недоліків значно ускладнює експлуатацію непідписаних платформ і ОС, а також драйверів, що мають невідомі для запускаються операційних систем підпису.

Як перевірити поточний стан

Дізнатися, чи активована ця функція на вашому комп’ютері або ноутбуці, можна кількома шляхами:

  • в процесі інсталяції нової операційної системи, коли з’явиться помилка, що це зробити неможливо;
  • за допомогою діагностичної утиліти msinfo32;
  • через командний рядок.

Msinfo32

Запустити програму можна безліччю способів. Ми використовуємо найпростіший.

  • Відкриваємо вікно «Виконати» за допомогою комбінації клавіш Win + R або через ярлик в «Пуск».
  • Вводимо команду «msinfo32» і виконуємо її кнопкою «ОК» або клавішею «Enter».

Внаслідок з’явиться вікно «Відомості про систему», де в рядку «Стан безпеки системи» містяться необхідні відомості про поточний режим захисту.

Рис.3 – Відомості про систему

Командний рядок

  1. Запускаємо її будь-яким способом.
  2. Виконуємо команду «Confirm-SecureBootUEFI».

Якщо відповіддю буде «True», функція активована, «False» – відключена, «Не є внутрішньою командою» або «not supported» – не підтримується поточної операційною системою.

Може бути у випадках експлуатації Windows 7 або старих системних плат з BIOS.

Рис.4 – Перевірка режиму роботи Secure Boot через командний рядок в Windows 10

Включення і відключення

В тій чи іншій ситуації може знадобитися відключити Secure Boot.

Для цього необхідно увійти в меню настройки UEFI, знайти відповідний параметр і змінити його значення на потрібне.

Зайти в меню настройки можна за допомогою спеціальної клавіші (F11, Del, F2), яка залежить від виробника пристрою або через «Параметри» Windows 8-10.

  • Тиснемо Win + I.
  • Вибираємо «Оновлення, безпеку».
  • Кількома по піктограмі «Відновлення» і перезавантажуємо комп’ютер.

Після цього ПК перезапуститься і з’явиться інтерфейс UEFI.

В налаштуваннях модифікованого БІОС знаходимо пункт, який відповідає за деактивацію функції Secure Boot, і перемикаємо її в потрібний режим.

На багатьох пристроях опція розміщена на головній сторінці або в розділі безпеки «Security».

замість положення «Відключено» ( «Disable») можуть бути варіанти з іншої операційною системою, наприклад, «Other OS».

Після вибору потрібного варіанту зберігаємо налаштування і виходимо з меню.

проблеми

Іноді після завершення запуску Windows 8-10 в кутку робочого столу відображається напис, що попереджає, що Secure Boot неправильно налаштована.

Найчастіше, для вирішення проблеми необхідно перейти в меню налаштувань BIOS і включити функцію захисту SB точно таким чином, як ми її відключали трохи вище.

Якщо це не допоможе, скидаємо настройки UEFI на заводські.

Ще може допомогти оновлення ОС, зокрема апдейт під назвою KB288320.

Ми розглянули, що таке Boot Secure в UEFI: які її функції, особливості, переваги і недоліки, а також провели паралелі між застарілим BIOS і його заміною в особі EFI з графічним призначеним для користувача інтерфейсом.

Ссылка на основную публикацию